武 越，劉向東，石兆軍

（中國航天科工集團第二研究院706所，北京100854）

0 引 言

大量文件以電子文檔的形式在涉密信息系統(tǒng)內流轉，文件密級標識的安全問題隨之出現(xiàn)。眾多研究人員分別從不同層面對文件密級標識進行了研究，其中，BLP（Bell－Lapadula）系統(tǒng)為主體和客體定義了密級標識［1］，但密級標識在主體的整個生命周期內固定不變，過于嚴格簡單，缺乏靈活性［2］；秦素娟將密級標識以數(shù)字水印形式嵌入矢量電子圖紙中［3］，但是該系統(tǒng)僅適用于單機環(huán)境；王蕊娜等人針對二值文檔提出了基于數(shù)字水印的密級標識添加方法［4］，基于置亂加密算法保證密級標識與二值文檔不可分離，基于中國剩余定理保證密級標識不可篡改；邊力等人提出了基于多維標識的文件分級保護系統(tǒng)［5］，該系統(tǒng)將文件標識嵌入到電子文件頭部，并引入域標識的概念，但沒有解決密級標識本身的安全性問題，用戶可以隨意修改流轉到自己這里的電子文件的密級，而且定密機構無法對這些非法操作進行控制審計。

本文針對當前涉密信息系統(tǒng)內文件密級標識管理混亂的局面，通過分析文件所處的不同狀態(tài)和外部環(huán)境，將密級標識管理分為靜態(tài)管控和動態(tài)管控，并針對不同的管控需求提出不同的解決方法：使用HMAC完整性校驗技術和文件系統(tǒng)過濾驅動技術解決靜態(tài)管控需求；通過在文件頭密級標識字段后添加若干標志位并使用HOOK技術解決動態(tài)管控需求。之后，基于以上研究，設計實現(xiàn)了涉密信息系統(tǒng)文件密級標識全程管控系統(tǒng)，該系統(tǒng)可以保證文件密級在靜態(tài)時刻與信息主體不可分離不可篡改，在文件動態(tài)流轉過程中密級標識安全受控。

1 文件密級標識管控研究

在涉密信息系統(tǒng)中，用戶文件會處于相對靜止和動態(tài)流轉這兩種狀態(tài)。當涉密信息系統(tǒng)內的某一文件沒有被用戶編輯并且系統(tǒng)外部環(huán)境相對穩(wěn)定時，此時文件處于相對靜止狀態(tài)，對文件密級標識采取靜態(tài)管控策略；當系統(tǒng)內某一文件正處在流轉過程中并被用戶訪問修改時，對文件密級標識的管控采取動態(tài)策略。

1.1 密級標識靜態(tài)管控

1.1.1 靜態(tài)管控需求

當文件處在相對靜止的狀態(tài)時，文件的密級一旦在涉密信息系統(tǒng)中被標定，就不能由其他人員隨意修改。由于文件的內容沒有發(fā)生變化，且外部環(huán)境也相對穩(wěn)定，故此時應將密級標識與文件主體進行綁定，保證密級標識與文件主體不可分離不可篡改。

同時，應保證文件的標密工作對用戶透明，不影響用戶對文件的正常操作使用。

1.1.2 基于HMAC的優(yōu)化完整性校驗

為防止密級標識被攻擊者非法篡改，使用完整性校驗機制保證密級標識的安全。但是如果僅對密級標識本身進行完整性校驗，仍然存在安全問題。系統(tǒng)在一段時間內會使用固定的密鑰，密級標識對應的密級校驗值也會相對固定，攻擊者可以明確得到各個密級與其校驗值的對應關系。在此情況下，密級標識和密級校驗值有可能被攻擊者從文件頭部整體替換，以達到文件降密或其它攻擊目的。例如，攻擊者攔截系統(tǒng)中的文件，將密級標識字段由 “機密”改為 “秘密”，同時將平時在系統(tǒng)內竊聽到的 “機密”密級校驗值替換為 “秘密”密級校驗值，再發(fā)送給接收者，這時接收者生成的用以驗證的校驗值會與接收到的校驗值完全一致，不會意識到文件密級已被攻擊者降密，造成高密低傳的嚴重后果。

為了實現(xiàn)密級標識與文件主體的綁定，將密級標識與文件內容兩者融合在一起進行校驗，防止密級標識和校驗值被攻擊者從文件中整體替換。雖然兩份文件的密級可能相同，但是由于文件正文部分的差異，會使得兩份文件的密級校驗值不相同。在文件傳輸過程中，如果攻擊者篡改了密級標識字段，由于其無法通過竊聽經(jīng)驗偽造相應的密級校驗值，文件接收端生成的密級校驗值就會與接收到的校驗值不匹配，使接收端意識到密級被惡意篡改。

選擇使用HMAC算法進行完整性校驗。HMAC是基于哈希函數(shù)的 MAC算法［6］，該算法利用哈希函數(shù)，以一個密鑰和消息作為輸入，生成一個消息摘要作為輸出。設H為一個哈希函數(shù)，key為通信雙方事先約定的密鑰，i＿pad和o＿pad為兩個常數(shù)，M為輸入的消息，則輸出的校驗值HMAC （key，M）可簡單表示成HMAC （key，M）＝H ［H ［M］］。

利用HMAC算法具有兩輪哈希過程的獨特性質［7］，在第一輪哈希過程中，將密級標識與文件內容融合在一起進行哈希運算，可以保證密級標識與文件主體不可分離；在第二輪哈希過程中，將密鑰與第一輪得到的哈希值一起進行哈希運算，可以防止密級標識被攻擊者惡意篡改?；贖MAC算法的完整性校驗機制如圖1所示。

圖1 基于HMAC算法的完整性校驗機制

1.1.3 文件系統(tǒng)過濾驅動技術

使用文件系統(tǒng)過濾驅動技術實現(xiàn)文件標密工作，可以做到標密工作對用戶透明，不影響用戶對文件的正常操作使用。

文件系統(tǒng)過濾驅動程序是由程序員根據(jù)特定需要自行設計實現(xiàn)的內核模式驅動程序［8］，并掛接在已有的文件驅動程序上，通過攔截I／O管理器和存儲設備驅動之間的I／O請求包 （I／O request package，IRP），對文件驅動行為進行修改，以提供需要的附加新功能。由于文件系統(tǒng)過濾驅動運行在內核層，因此具有更高的處理速度和效率［9］。

通過將文件標密操作以文件系統(tǒng)過濾驅動的形式插入到內核層，可以實現(xiàn)在底層對文件進行標密。這樣，可以保證對密級標識的處理操作對用戶透明，不影響用戶的正常使用。

1.2 密級標識動態(tài)管控

1.2.1 動態(tài)管控需求

在涉密信息系統(tǒng)內，文件處在實時動態(tài)流轉的過程中，文件被創(chuàng)建并進入系統(tǒng)后，會在多個用戶之間進行流轉，會有多個合法用戶對文件進行反復地打開、關閉、編輯、修改。同時，系統(tǒng)的外部環(huán)境也處在實時變化中，會由于某些敏感事件的發(fā)生而提高文件的涉密等級，也會隨著時間的推移，將一些涉密文件逐漸解密［10］。因此，文件的密級其實是處在不斷變化中的，對密級標識與信息主體不可分離不可篡改的描述，也是主要針對文件狀態(tài)相對靜止的時刻。當文件密級出于某些原因需要改變時，必須保證文件密級能夠在定密機構審核通過的情況下從文件主體中順利解綁，修改密級后再重新綁定。

1.2.2 添加標志位的文件頭結構

為實現(xiàn)動態(tài)管控，在涉密信息系統(tǒng)內對全部文件采用統(tǒng)一的文件格式，并在文件頭部添加8個標志位，分別為ISSECRT、ISOPEN、ISEDIT、ISMARK、ISCHECK、ISPASS、ISAUDIT、ISERR。其中，為了方便討論，本文默認認為系統(tǒng)內的文件內容始終以密文形式存儲，ISSECRT值始終為1。方案定義的文件頭結構如圖2所示，其中灰色部分為新添加的標志位。

圖2 文件頭結構

文件頭各標志位定義描述如表1所示。

表1 文件頭標志位描述

1.2.3 基于標志位的密級標識狀態(tài)描述

根據(jù)文件頭中標志位的不同取值，可以得到文件密級標識當前所處的不同狀態(tài)［11］。在實際應用中，對文件標志位進行實時監(jiān)控，當發(fā)現(xiàn)文件密級標識的狀態(tài)出現(xiàn)異常時，判斷可能存在的針對密級標識的攻擊和非法操作，并進行告警或人為干預［12］。對密級標識各個狀態(tài)的描述如表2所示。

當文件處在相對靜止的狀態(tài)時，密級標識處在狀態(tài)1，此時文件處于關閉狀態(tài)，密級標識正常，密級管理服務器內保存的密級標識審計信息完整；當文件被用戶打開但沒有修改文件內容時，密級標識處在狀態(tài)2，由于文件內容沒有被修改，所以密級標識不變；當用戶對文件內容進行了編輯時，密級標識處在狀態(tài)3，此時由于文件內容已發(fā)生變化，故之前的密級標識失效；當新修改的密級標識經(jīng)由定密機構審核時，密級標識會經(jīng)歷狀態(tài)4、狀態(tài)9，狀態(tài)5和狀態(tài)6，審核通過后，密級標識會重新回到狀態(tài)1；狀態(tài)7和狀態(tài)8是非常危險的狀態(tài)，此時文件的密級標識非法異常，系統(tǒng)會發(fā)出告警。以上描述的密級標識狀態(tài)轉換如圖3所示，其中圓圈代表密級標識的狀態(tài)，圓圈內是文件頭各標志位的值，箭頭上的文字表示引起密級標識狀態(tài)改變的條件。

表2 密級標識狀態(tài)描述

圖3 密級標識狀態(tài)轉換

1.2.4 HOOK技術

在涉密信息系統(tǒng)中，文件的初始創(chuàng)建人必須完成對其創(chuàng)建的文件進行初始標密的工作，否則文件在創(chuàng)建之后將不具有密級標識。同時，若用戶對文件內容進行了修改，在關閉文件之前，必須對文件進行重新標密。

為了防止用戶忘記對文件標密，使用HOOK技術在應用層對用戶行為進行監(jiān)控。鉤子 （hook）技術運行在應用層，是一個處理Windows消息的程序段［13］，通過系統(tǒng)調用把鉤子掛入系統(tǒng)。在發(fā)出的特定消息沒有到達目的窗口前，鉤子程序會先捕獲該消息，這時鉤子函數(shù)可以對消息進行加工處理，也可以不作處理而繼續(xù)傳遞消息，還可以強制結束消息的傳遞［14］。

用戶終端運行的操作系統(tǒng)一般為Windows系統(tǒng)。當用戶新建或打開一個文件時，鉤子監(jiān)視到創(chuàng)建窗口的消息，并通知標密管理軟件開啟對該文件的實時監(jiān)控；當用戶單擊鼠標關閉文件編輯程序 （office，PDF，auto CAD等）窗口時，Windows會發(fā)送關閉窗口的消息給文件編輯程序，在消息沒有到達程序窗口前，鉤子會先攔截該消息［15］，并通知標密管理軟件審核當前文件的密級。若文件密級符合規(guī)范，鉤子會將攔截的關閉窗口消息釋放，使其繼續(xù)向下傳遞；若文件密級不符合規(guī)范，鉤子會強制終止傳遞該消息，并拒絕關閉文件編輯程序，同時由標密管理軟件生成密級異常提示。

2 文件密級標識全程管控系統(tǒng)

2.1 總體框架

系統(tǒng)的邏輯結構如圖4所示。

系統(tǒng)的技術實現(xiàn)原理如圖5所示。

2.2 各部分功能

標密管理軟件運行在涉密信息系統(tǒng)內每個用戶終端的操作系統(tǒng)后臺，對文件密級標識進行實時監(jiān)控。標密管理軟件將根據(jù)文件頭部標志位對文件密級標識所處的狀態(tài)進行判斷，并在密級標識出現(xiàn)異常時進行告警。

定密機構對文件密級標識進行審核。文件密級發(fā)生變化后，標密管理軟件會代理生成一個文件密級審核的申請，由定密機構審核文件密級是否符合要求。

密級管理服務器記錄密級審計日志和文件訪問控制信息。涉密信息系統(tǒng)內，每份文件對應有一個記錄訪問控制信息的文件，記錄允許對用戶進行訪問的用戶列表和禁止對文件進行訪問的用戶列表；同時每份文件還對應有一個密級審計日志文件，用以對文件密級標識的所有操作進行全程審計，包括合法操作和非法操作。對這兩個文件，文件主體不方便攜帶，需要將其委托給專門的存儲設備代為管理，以備事后追查，故系統(tǒng)中使用密級管理服務器專門存儲維護這些信息。

2.3 系統(tǒng)工作流程

2.3.1 初始創(chuàng)建文件（1）用戶A創(chuàng)建一個進程，用以發(fā)起新建文件的操作；（2）在用戶A客戶端后臺運行的標密管理軟件捕獲到用戶A的新建文件操作，開啟對文件的實時監(jiān)控；

（3）用戶A對文件進行編輯，編輯完成后，用戶A點擊關閉文件的按鈕；若用戶A尚未對文件進行標密，則標密管理軟件阻止文件關閉，并強制用戶A對文件標密；

（4）用戶A對文件標明密級后，標密管理軟件將密級標識上傳到定密機構進行審核；

（5）密級審核通過后，標密管理軟件為新建的文件創(chuàng)建對應的密級審計日志，并將上述操作作為一條日志記錄寫入密級審計日志，上傳至密級管理服務器。

2.3.2 文件在涉密信息系統(tǒng)內流轉

當用戶A創(chuàng)建的文件流轉到合法用戶B處時：（1）用戶B創(chuàng)建一個進程，用以發(fā)起打開文件的操作；（2）在用戶B客戶端后臺運行的標密管理軟件捕獲到用戶B的打開文件操作，開啟對文件的實時監(jiān)控；

（3）用戶B對文件進行編輯，編輯完成后，用戶B點擊關閉文件的按鈕；若用戶B尚未對文件重新標密，則標密管理軟件阻止文件關閉，強制用戶B對文件標密；

（4）用戶B對文件標定密級后，標密管理軟件將密級標識上傳到定密機構進行審核；

（5）密級審核通過后，標密管理軟件將上述操作作為一條日志記錄寫入密級審計日志，上傳至密級管理服務器。

2.3.3 非法用戶操作

（1）非法用戶C創(chuàng)建一個進程，用以發(fā)起打開文件的操作；

（2）在非法用戶C客戶端后臺運行的標密管理軟件捕獲到非法用戶C的打開文件操作，登陸密級管理服務器獲取文件的訪問控制信息，發(fā)現(xiàn)用戶C為非法用戶；

（3）標密管理軟件禁止非法用戶C對文件的訪問，生成告警信息，并將上述操作作為一條日志記錄寫入密級審計日志，上傳至密級管理服務器。

2.3.4 刪除文件

（1）合法用戶D創(chuàng)建一個進程，發(fā)起刪除文件的操作；

（2）在合法用戶D客戶端后臺運行的標密管理軟件捕獲到合法用戶D的刪除文件操作，登陸密級管理服務器獲取文件的訪問控制信息，發(fā)現(xiàn)用戶D具有刪除文件的權限；

（3）標密管理軟件允許合法用戶D刪除文件，并將上述操作作為一條日志記錄寫入密級審計日志，上傳至密級管理服務器。

2.4 系統(tǒng)分析

（1）正確性

系統(tǒng)內與密級標識相關的幾類事件總結為：

1）文件被合法用戶打開、編輯、標密，且新密級審核通過，密級標識狀態(tài)變換為：1→2→3→4→9→5→6→1，密級標識狀態(tài)可以實現(xiàn)閉環(huán)；

2）文件被合法用戶打開、編輯，但未重新標定密級或新標定的密級不正確，密級審核不通過，密級標識狀態(tài)變換為：1→2→3→4→9→5→ （4→9→5→…）→7→8，密級標識狀態(tài)無法實現(xiàn)閉環(huán)；

3）在文件內容不變的情況下，文件密級被合法用戶修改，且新密級審核通過，密級標識狀態(tài)變換為：1→4→9→5→6→1，密級標識狀態(tài)可以實現(xiàn)閉環(huán)；

4）在文件內容不變的情況下，文件密級被合法用戶修改，新密級審核不通過，密級標識狀態(tài)變換為：1→4→9→5→ （4→9→5→…）→7→8，密級標識狀態(tài)無法實現(xiàn)閉環(huán)；

5）在文件內容不變的情況下，文件密級被非法用戶修改，此時生成密級非法異常信息，密級標識狀態(tài)變換為：1→7→8，密級標識狀態(tài)無法實現(xiàn)閉環(huán)。

通過對幾類事件的分析可知，如果對文件密級的操作正確，那么基于文件頭部標志位的密級標識狀態(tài)均可以實現(xiàn)閉環(huán)；如果攻擊者對文件密級進行非法操作，密級標識狀態(tài)便無法實現(xiàn)閉環(huán)，據(jù)此可以判斷密級標識出現(xiàn)了異常。由此可證明系統(tǒng)設計的正確性。

（2）安全性

該系統(tǒng)可以從應用層和內核層兩個層面保證文件密級標識的安全。當攻擊者從應用層攻擊文件密級，試圖通過文件編輯程序打開文件并修改文件密級時，監(jiān)控文件編輯程序窗口的鉤子會發(fā)覺這一非法操作并向標密管理軟件告警；當攻擊者從內核層攻擊文件密級，試圖修改存儲在物理存儲設備上的文件密級時，文件系統(tǒng)過濾驅動程序會攔截這一非法的I／O請求包，并向標密管理軟件告警。

2.5 實現(xiàn)效果

該系統(tǒng)可以為涉密信息系統(tǒng)內流轉的文件，包括文本、圖片、實驗數(shù)據(jù)、工控機床代碼文件進行統(tǒng)一的密級標識，并達到了預期的功能和安全性要求，可以為涉密信息系統(tǒng)內文件的密級標識提供安全保障，實現(xiàn)了密級標識的全程管控。

3 結束語

本文通過使用全新文件頭格式，在密級標識字段后添加若干標志位，并結合HMAC完整性校驗技術、鉤子技術、文件系統(tǒng)過濾驅動技術，設計并實現(xiàn)了一個涉密信息系統(tǒng)文件密級標識全程管控系統(tǒng)。在該系統(tǒng)中，用戶終端后臺運行標密管理軟件，定密機構審核文件密級標識，密級管理服務器記錄密級審計日志。該系統(tǒng)全面提升了密級標識本身的安全性，實現(xiàn)了涉密信息系統(tǒng)文件密級標識的全程統(tǒng)一管控。

［1］LIU Yanming，DONG Qingkuan，LI Xiaoping.Study on enhancing integrity for BLP model ［J］.Journal on Communications，2010，31 （2）：100－106 （in Chinese）.［劉彥明，董慶寬，李小平.BLP模型的完整性增強研究 ［J］.通信學報，2010，31（2）：100－106.］

［2］GU Qianjun，WANG Yue.Analysis and research of the security of BLP model ［J］.Computer Engineering，2006，32 （22）：157－158 （in Chinese）.［谷千軍，王越.BLP 系統(tǒng)的安全性分析與研究 ［J］.計算機工程，2006，32 （22）：157－158.］

［3］QIN Sujuan.Research on key techniques of secret level marking system for vector graphics ［D］.Harbin：Harbin Institute of Technology，2009：16－18 （in Chinese）.［秦素娟.矢量電子圖紙密級標識系統(tǒng)關鍵技術研究 ［D］.哈爾濱：哈爾濱工業(yè)大學，2009：16－18.］

［4］WANG Ruina，SUI Zhiyuan，F(xiàn)ANG Yong.A secret level identification adding method for binary document ［J］.Journal of Beijing Electronic Science and Technology Institute，2011，19（4）：10－15 （in Chinese）. ［王蕊娜，隋智遠，方勇.一種二值文檔密級標識添加方法 ［J］.北京電子科技學院學報，2011，19 （4）：10－15.］

［5］BIAN Li，CHEN Xingyuan，WANG Yongwei.File classified protection model based on multi－dimensional label ［J］.Computer Engineering，2011，37 （13）：132－138 （in Chinese）.［邊力，陳性元，汪永偉.基于多維標識的文件分級保護系統(tǒng) ［J］.計算機工程，2011，37 （13）：132－138.］

［6］Henk C A Van Tilborg，Sushil Jajodia.Encyclopedia of cryptography and security ［M］.USA：Springer－Verlag New York Inc，2011：51－54.

［7］YU Hongbo.Cryptanalysis of hash functions and HMACNMAC ［D］.Jinan：Shandong University，2007：36－37 （in Chinese）.［于紅波.雜湊函數(shù)以及HMAC＿NMAC的安全性分析 ［D］.濟南：山東大學，2007：36－37.］

［8］LI Wei，CHEN Hao，LIU Peng.File protection system based on driver ［J］.Advances in Intelligent and Soft Computing，2013 （163）：773－780.

［9］ZENG Peng.Key technologies of file secret classification mark in kernel－level ［D］.Harbin：Harbin Institute of Technology，2010：29－32 （in Chinese）. ［曾鵬.內核級文件密級標識關鍵技術研究 ［D］.哈爾濱：哈爾濱工業(yè)大學，2010：29－32.］

［10］WANG Wenyu，CHEN Shangyi.Key technology and design of security classification management system for electronic file［J］.Information Security and Communications Privacy，2009：113－117（in Chinese）.［王文宇，陳尚義.電子文件密級管理系統(tǒng)的關鍵技術與設計 ［J］.信息安全與通信保密，2009：113－117.］

［11］YAN Cuicui.Research on states monitoring model of cooperative workflow engine ［D］.Nanjing：Nanjing University of Aeronautics and Astronautics，2007：44－46 （in Chinese）.［閆翠翠.協(xié)同工作流機狀態(tài)監(jiān)控模型研究 ［D］.南京：南京航空航天大學，2007：44－46.］

［12］YE Jun.A framework for state monitor software and its application ［J］.Computer Simulation，2008，25 （4）：271－273 （in Chinese）.［葉俊.狀態(tài)監(jiān)控軟件通用框架設計及應用 ［J］.計算機仿真，2008，25 （4）：271－273.］

［13］XIE Yumin.Research on reverse locating of key functions in windows application ［D］.Zhengzhou：The PLA Information Engineering University，2009：31－34 （in Chinese）.［謝裕敏.Windows應用程序關鍵函數(shù)的逆向定位技術研究 ［D］.鄭州：解放軍信息工程大學，2009：31－34.］

［14］CHEN Hao.Research on software auto－testing technology based on message mechanism ［D］.Changsha：Hunan University，2010：15－19 （in Chinese）.［陳浩.基于消息機制的軟件自動測試技術研究 ［D］.長沙：湖南大學，2010：15－19.］

［15］ZHAO Qin，HUANG Ling.Design of automatic test system based on windows messages ［C］／／Guilin：Proceeding on Academic Conference of Guangxi Computer Society，2010 （in Chinese）.［趙欽，黃玲.基于 Windows消息機制的自動檢測系統(tǒng)的設計 ［C］／／桂林：廣西計算機學會2010年學術年會論文集，2010：23－26.］